[안전성 확보조치] 제4조 내부 관리계획의 수립, 시행 및 점검

개인정보처리자는 개인정보의 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립, 시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인, 개인, 단체의 경우에는 생략할 수 있다.

1. 개인정보 보호 조직의 구성 및 운영에 관한 사항
2. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
3. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
4. 개인정보취급자에 대한 관리, 감독 및 교육에 관한 사항
5. 접근 권한의 관리에 관한 사항
6. 접근 통제와 관한 사항
7. 개인정보의 암호화 조치에 관한 사항
8. 접속기록 보관 및 점검에 관한 사항
9. 악성프로그램 등 방지에 관한 사항
10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항
11. 물리적 안전조치에 관한 사항
12. 개인정보 유출사고 대응 게획 수립, 시행에 관한 사항
13. 위험 분석 및 관리에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항
16. 그 밖에 개인정보 보호를 위하여 필요한 사항

개인정보처리자는 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수, 업무성격 등에 따라 차등화하여 필요한 교육을 정기적으로 실시하여야 한다.

1. 교육목적 및 대상
2. 교육 내용
3. 교육 일정 및 방법

개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.

개인정보 보호책임자는 접근 권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상 점검, 관리하여야 한다.

• 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인, 개인, 단체의 경우 이 기준에서 정한 내부 관리계획 외에 개인정보 보호를 위하여 필요한 계획을 자율적으로 수립하여 시행할 수 있다. 그 외 이 기준에서 정한 해당되는 다른 안전조치 의무사항은 이행하여야 한다.
• 내부 관리계획의 세부적인 추진방안에는 이 기준에서 정하는 기술적, 관리적, 물리적 안전조치에 관한 사항이 모두 포함되어야 하며, 개인정보처리자가 슷스로 정하는 개인정보의 안전성 확보에 필요한 기준에 관한 사항도 포함되어야 한다.
• 내부 관리계획을 수립할 때에는 이 기준에서 정하는 사항을 포함하여야 한다. 다만, 해당하는 사항이 없는 경우에는 목차에서 제외하거나 “해당 사항 없음”으로 작성할 수 있다. 내부 관리계획에서 제외한 사유에 대해서는 “13. 위험 분석 및 관리에 관한 사항” 등에서 관련 사항을 작성할 수 있다.
• 내부 관리계획은 전사적인 계획 내에서 개인정보를 관리할 수 있도록 최고경영층으로부터 내부결재 등의 승인을 받아 모든 임직원과 관련자에게 알려 이를 준수하도록 하여야 한다.

1. 1. 개인정보처리자는 개인정보 처리과정 전반에 걸쳐 개인정보를 안전하게 관리하고 보호하기 위하여 보호조직을 구성하고 운영하여야 한다.
   2. 개인정보처리자는 처리하는 개인정보의 종류, 중요도 및 보유량, 개인정보를 처리하는 방법 및 내,외부 환경 등을 종합적으로 검토하고, 개인정보처리자의 환경에 맞게 보호 업무 수행 체계 및 규모 등을 고려하여, 개인정보 보호 조직을 구성 및 운영하여야 한다.
   3. 개인정보 보호조직은 업무분장 등을 내부 관리계획 등에 명시하여야 하며, 인력의 지정에 관한 사항, 역할 및 책임 그리고 역량 및 요건 등 적정성에 관한 사항 등을 포함하여야 한다.개인정보 보호 조직의 구성 및 운영에 관한 사항 

      

2. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
   1. 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보보호책임자를 지정하여야 하고, 내부 관리계획에 개인정보 보호책임자의 자격 요건 및 지정에 관한 사항을 포함하여야 한다.
   2. 다만, ‘소상공인기본법’ 제2조제1항에 따른 소상공인에 해당하는 경우에는 개인정보보호책임자를 지정하지 않을 수 있으며, 이 경우에는 그 사업주 또는 대표자가 개인정보보호책임자가 된다.
   3. 개인정보 보호책임자는 개인정보 처리에 관한 총괄책임자로서 의사결정을 할 수 있는 지위에 있어야 하며, 개인정보보호 법,제도,기술 등에 대해 풍부한 지식을 보유한 자로 지정해야 한다.
      1. 특히, 개인정보처리자가 연간 매출액 등이 1,500억 원 이상이고, 5만명 이상의 정보주체에 대하여 민감정보 또는 고유식별정보를 처리하거나 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 등 시행령 제32조 제4항 각호 하나에 해당하는 경우, 개인정보 보호책임자로 지정되는 사람은 개인정보보호 경력, 정보기술 경력을 합하여 총 4년 이상 보유하고, 그중 개인정보보호 경력을 최소 2년 이상 보유해야 한다.
   • 개인정보 보호책임자(CPO)와 정보보호 최고책임자(CISO)는 동일인으로 지정하거나 별도로 지정할 수 있다.
     • 다만, 상호 간의 명확한 업무분장 필요
3. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
   1. 개인정보 보호책임자는 개인정보 처리에 관한 업무를 총괄하여야 한다.
      • 개인정보 보호책임자의 주요 업무 및 역할
      • ▶ 개인정보보호 관련 계획 수립 및 시행 ▶ 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 ▶ 개인정보 처리와 관련한 불만의 처리 및 피해 구제 ▶ 개인정보 유출 및 오남용 방지를 위한 내부통제시스템의 구축 ▶ 개인정보보호 교육 계획 수립 및 시행 ▶ 개인정보파일의 보호 및 관리·감독 ▶ 개인정보 처리방침의 수립·변경 및 시행 ▶ 개인정보 처리와 관련된 인적·물적 자원 및 정보의 관리 ▶ 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 등 ▶ 그 밖에 개인정보 보호 관련 법령에서 명시하는 사항
   2. 개인정보처리자는 개인정보 보호책임자가 형식적으로 외부에 보여주기 위한 장치가 아닌 개인정보처리자의 내부 관리체계를 강화하고 자율규제를 활성화하는 등 개인정보 보호책임자에게 실질적인권한과 의무를 부여- 하여야 한다.
      1. 특히, 개인정보처리자는 개인정보 보호책임자가 업무를 수행하는 데 정당한 이유 없이 불이익을 주거나 받게 하여서는 안 되며, 업무를 독립적으로 수행할 수 있도록 보장하여야 한다.
   3. 개인정보취급자는 개인정보가 안전하게 관리될 수 있도록 개인정보처리자의 지휘 및 감독을 받아 개인정보를 처리하는 역할을 한다.
      • 개인정보 취급자의 역할 및 업무 예시
      ▶ 내부 관리계획 등 각종 규정, 지침 등 준수
      ▶ 개인정보처리시스템의 안전한 운영 및 관리
      ▶ 개인정보의 안전성 확보조치 기준 이행
      ▶ 개인정보보호 교육 참석
      ▶ 개인정보 침해사고 발생 시 대응 및 보고
      ▶ 개인정보 처리 현황, 처리 체계 등의 점검 및 보고 등
   4. 개인정보처리자는 스스로의 환경에 맞추어 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항을 내부 관리계획에 포함하여야 한다.
4. 개인정보취급자에 대한 관리 및 감독 및 교육에 관한 사항
   1. 개인정보처리자는 개인정보를 처리하는 데 개인정보가 안전하게 관리되도록 개인정보 취급자의 범위와 업무를 최소한으로 제한하고, 개인정보취급자에 대한 접근 권한의 차등부여, 인사이동에 따른 변경 및 말소, 보안서약서 징구 등 개인정보취급자에 대하여 적절한 관리 및 감독을 하여야 한다.
   2. 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 필요한 교육을 정기적으로 실시하여야 한다.
   3. 교육에 관한 사항에는 교육 목적, 교육 대상, 교육 내용, 교육 일정 및 방법 등을 포함한다. 이를 내부 관리계획 등에 관련 사항을 규정하거나 “OO년 개인정보보호 교육 계획(안)” 등의 형태로 수립할 수 있다.
   4. 교육 내용은 개인정보취급자의 업무성격, 지위 및 직책, 담당업무의 내용, 업무 숙련도 등에 따라 차등화하여 실시한다.
   5. 교육 방법에는 사내교육, 외부교육, 위탁교육 등 여러 종류가 있을 수 있으며, 조직의 여건 및 환경을 고려하여 집체 교육, 온라인 교육 등 다양한 방법을 활용할 수 있다.
5. 접근 권한의 관리에 관한 사항
   1. 접근 권한이 없는 자가 개인정보처리시스템 등에 접근하는 것을 방지하기 위하여 이 기준 제5조(접근 권한의 관리)에 관한 사항을 포함하여야 한다.
      1. 개인정보취급자에게 업무수행에 필요 최소한의 범위로 접근 권한 차등 부여
      2. 개인정보취급자별로 계정 발급
      3. 개인정보처리시스템에 대한 접근 권한을 업무 담당자에 따라 차등 부여
      4. 일정 횟수 이상 인증을 실패한 경우 접근제한
      5. 개인정보취급자 또는 개인정보취급자의 업무 변경 시 지체 없이 접근 권한의 변경 또는 말소
      6. 접근 권한의 부여, 변경, 말소에 대한 내역 기록 및 최소 3년간 보관 등
6. 접근 통제에 관한 사항
   1. 정보통신망을 통한 개인정보처리시스템 등의 불법적인 접근을 차단하고 침해사고를 예방하기 위하여 이 기준 제6조(접근통제)에 관한 사항을 포함하여야 한다.
      1. 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 침입차단, 침입탐지, 침입방지, 접속차단 등 필요한 조치
      2. 개인정보 유출 및 노출 방지를 위해 컴퓨터 등에 대한 안전조치
      3. 개인정보취급자에 대한 안전한 인증수단 또는 접속수단의 적용 및 관리 기준 수립 등
7. 개인정보의 암호화 조치에 관한 사항
   1. 개인정보처리자는 개인정보의 유출 및 노출 등을 방지하기 위하여 이 기준 제7조(개인정보의 암호화)에 관한 사항을 포함하여야 한다.
      1. 비밀번호, 생체인식정보 등 인증정보 저장 및 정보통신망을 통한 송수신 시 암호화
      2. 비밀번호 저장 시 복호화되지 않도록 안전한 일방향 암호화 알고리즘으로 저장
      3. 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식 정보는 안전한 암호 알고리즘으로 암호화 저장
8. 접속기록 보관 및 점검에 관한 사항
   1. 개인정보취급자가 개인정보처리시스템에 접속한 정보 등을 확인할 수 있는 중요한 사항으로 이 기준 제8조(접속기록의 보관 및 점검)에 관한 사항을 포함하여야 한다.
      1. 개인정보취급자가 개인정보처리시스템에 접속한 기록의 보관기간
      2. 개인정보처리시스템의 접속기록 점검주기
      3. 개인정보의 다운로드가 확인된 경우 사유를 반드시 확인하여야 하는 기준과 사유 확인에 필요한 사항 등
      4. 접속기록의 위변조, 도난, 분실 방지를 위한 조치
9. 악성프로그램 등 방지에 관한 사항
   1. 개인정보취급자의 컴퓨터 등을 통한 개인정보 유출을 예방하기 위하여 이 기준 제9조(악성프로그램 등 방지)에 관한 사항을 포함하여야 한다.
      1. 악성프로그램 등을 방지 및 치료할 수 있는 보안 프로그램 설치 및 운영
      2. 프로그램의 자동 업데이트 기능 등을 사용하여 최신 상태로 유지
      3. 발견된 악성프로그램 등에 대한 삭제 조치
      4. 악성프로그램 관련 경보가 발령되거나 보안 업데이트 공지가 있는 경우 정당한 사유가 없는 한 즉시 업데이트 실시
10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항
    1. 개인정보처리자는 개인정보가 분실,도난,유출,위조,변조 또는 훼손되지 않도록 개인정보를 처리하는 환경, 기기, 설비, 시스템 등의 취약점을 점검하여야 하며, 그 결과에 따라 개선조치를 하여야 한다.
    2. 개인정보처리시스템을 신규로 도입, 개발 또는 변경 시 시큐어 코딩, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 및 개발 단계에서부터 반영을 고려할 필요가 있다
    3. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검 시에는 기록을 남겨 책임 추적성 확보 및 향후 개선조치 등에 활용할 수 있도록 할 필요가 있다.
    4. 개인정보처리자의 개인정보 처리 업무 및 환경 등에 대한 전반적인 취약점 점검은 개인정보처리자의 자체인력, 보안업체 등을 활용할 수 있으며, 취약점 점검은 상용 도구, 공개용 도구, 자체 제작 도구 등을 사용할 수 있다.
    5. 개인정보 처리기술 및 서비스가 확대되고, 개인정보를 위협하는 침해요인 증가에 따라 시스템 등에 대한 신규 취약점이 지속적으로 발생하고 있으므로 정기적인 취약점 점검 및 개선조치를 통하여 개인정보 유출을 예방하는 등 적극적인 보호활동을 하여야 한다.
11. 물리적 안전조치에 관한 사항
    1. 개인정보가 보관되어 있는 물리적 장소나 서류, 매체 등을 안전하게 관리하기 위하여 이 기준 제11조(물리적 안전조치)에 관한 사항을 포함하여야 한다.
       1. 전산실, 자료보관실 등 물리적 보관 장소를 두고 있는 경우 출입통제 절차 수립, 운영
       2. 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관
       3. 보조저장매체의 반출,입 통제를 위한 보안대책 마련 등
12. 개인정보 유출사고 대응 계획 수립, 시행에 관한 사항
    1. 개인정보 유출사고가 발생한 때에는 신속한 대응 조치를 통해 개인정보의 추가 유출을 막고, 이로 인한 정보주체의 피해를 최소화하기 위한 긴급조치, 유출 신고 및 통지, 피해 신고 접수 및 피해 구제 등과 같은 사항을 포함하는 개인정보 유출 사고 대응 계획을 수립, 시행하여야 한다.
       1. 개인정보 유출 신속 대응체계 구축
       2. 유출 원인 파악 및 추가 유출 방지 조치
       3. 개인정보 유출 신고 및 통지(즉시, 72시간 이내)
          
          • 신고
            1. 1천 명 이상의 정보주체에 관한 개인정보가 유출된 경우
            2. 민감정보 또는 고유식별정보가 유출된경우
            3. 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출된 경우
       4. 정보주체의 피해구제 및 재발 방지 대책 마련
13. 위험 분석 및 관리에 관한 사항
    1. 개인정보 처리에 따른 잠재적인 위험을 분석하고 이를 효과적으로 관리하기 위한 방안을 포함하여야 한다.
       1. 개인정보 위험 분석 - 개인정보의 처리 방법 및 종류 등에 따라 개인정보의 침해가 발생할 가능성과 정보주체에게 미치는 영향 등 그 위험의 정도를 분석하는 행위
       2. 개인정보 위험 분석 및 관리를 위한 방법과 절차는 개인정보처리자의 특성 및 상황 등을 고려하여 자체적으로 마련할 수 있다.
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
    1. 개인정보처리자는 개인정보 처리업무 위탁으로 인하여 정보주체의 개인정보가 침해되지 아니하도록 수탁자를 교육하고, 수탁자가 개인정보를 안전하게 처리하는지를 관리, 감독하여야 한다.
    2. 개인정보처리자는 수탁자에 대하여 정기적으로 교육을 실시하고, 수탁자의 개인정보 처리 현황 및 실태, 목적 외 이용 및 제공, 재위탁 여부, 안전성 확보조치 여부 등을 정기적으로 점검 등 관리, 감독하여야 한다.
    3. 내부 관리계획에는 수탁자에 대한 교육 및 감독의 시기와 방법, 절차, 점검 항목 등을 포함해야 하며, 수탁자 교육 및 감독에 대한 기록을 남기고 문제점이 발견된 경우 그에 따른 개선조치를 하여야 한다.
15. 개인정보 내부 관리계획의 수립 ,변경 및 승인에 관한 사항
    1. 개인정보처리자는 스스로의 환경을 고려하여 내부 관리계획의 수립 및 변경과 승인에 관한 사항을 마련하여야 한다.
    2. 내부 관리계획은 조직 전체를 대상으로 마련하여야 하며, 이 기준에서 정하는 개인정보의 안전성 확보에 필요한 조치에 관한 사항을 모두 포함하여야 한다.
    3. 개인정보 처리 방법 및 환경 등의 변화로 인하여 내부 관리계획에 중요한 변경이 있을 때에는 변경 사항을 즉시 반영하고, 변경된 내부 관리계획에 대해서도 사업주 또는 대표자 등 최고경영층의 승인을 다시 받아야 한다.
       1. 수정 및 변경 시 내용, 시행 시기 등 이력을 관리하여야 한다.
16. 그 밖에 개인정보 보호를 위하여 필요한 사항
    1. 개인정보처리자는 처리하는 개인정보의 종류 및 중요도, 보유량 그리고 개인정보를 처리하는 방법 및 환경 등을 고려하여 개인정보가 침해되지 않도록 그 밖의 안전조치를 추가적으로 할 수 있다.
       ▶ 개인정보보호 관리체계(ISMS-P) 등 개인정보보호 관련 인증 획득
       ▶ 개인정보보호 컨설팅
       ▶ 개인정보처리시스템 설계, 개발, 운영 시 개인정보보호 중심 설계(Privacy by Design) 적용
       ▶ 개인정보 보호 강화기술(PET)의 도입·운영
       ▶ 보안장비 및 보안솔루션 도입 및 운영, 형상·운영 관리 및 기록
       ▶ 개인정보보호 예산 및 인력의 적정수준 반영
       ▶ 개인정보보호 관련 세부 지침, 절차, 매뉴얼 등의 수립 및 시행
       ▶ 개인정보 파기 절차 수립 및 시행 등